Configuration Manager ile Windows Defender Uygulama Denetimi yönetimi

Uygulama hedefi: Configuration Manager (güncel dalı)

Windows Defender Uygulama Denetimi, cihazları kötü amaçlı yazılımlara ve diğer güvenilmeyen yazılımlara karşı korumak için tasarlanmıştır. Yalnızca onaylanan kodun (bildiğiniz gibi) çalıştırılabilmesini sağlayarak kötü amaçlı kodun çalışmasını engeller.

Uygulama Denetimi, bilgisayarda çalışmasına izin verilen yazılımların açık listesini zorunlu kılan yazılım tabanlı bir güvenlik katmanıdır. Uygulama Denetimi'nin kendi başına herhangi bir donanım veya üretici yazılımı önkoşulu yoktur. Configuration Manager ile dağıtılan Uygulama Denetimi ilkeleri, hedeflenen koleksiyonlardaki cihazlarda, bu makalede açıklanan en düşük Windows sürümü ve SKU gereksinimlerini karşılayan bir ilkeyi etkinleştirir. İsteğe bağlı olarak, Configuration Manager aracılığıyla dağıtılan Uygulama Denetimi ilkelerinin hiper yönetici tabanlı koruması, uyumlu donanımlarda grup ilkesi aracılığıyla etkinleştirilebilir.

Daha fazla bilgi için bkz. Windows Defender Uygulama Denetimi dağıtım kılavuzu.

Not

Bu özellik daha önce yapılandırılabilir kod bütünlüğü ve Device Guard olarak biliniyordu.

uygulama denetimini Configuration Manager ile kullanma

Uygulama Denetimi ilkesini dağıtmak için Configuration Manager kullanabilirsiniz. Bu ilke, Uygulama Denetimi'nin bir koleksiyondaki cihazlarda çalıştırıldığı modu yapılandırmanıza olanak tanır.

Aşağıdaki modlardan birini yapılandırabilirsiniz:

  1. Zorlama etkinleştirildi - Yalnızca güvenilen yürütülebilir dosyaları çalıştırmaya izin verilir.
  2. Yalnızca denetim - Tüm yürütülebilir dosyaları çalıştırmaya izin verin, ancak yerel istemci olay günlüğünde çalışan güvenilmeyen yürütülebilir dosyaları günlüğe kaydedin.

Uygulama Denetimi ilkesi dağıttığınızda ne çalıştırılabilir?

Uygulama Denetimi, yönettiğiniz cihazlarda nelerin çalışabileceğini güçlü bir şekilde denetlemenize olanak tanır. Bu özellik, yüksek güvenlikli departmanlardaki cihazlar için yararlı olabilir ve burada istenmeyen yazılımların çalışamamaları çok önemlidir.

Bir ilkeyi dağıttığınızda, genellikle aşağıdaki yürütülebilir dosyalar çalıştırılabilir:

  • Windows işletim sistemi bileşenleri
  • Windows Donanım Kalite Laboratuvarları imzalarına sahip Donanım Geliştirme Merkezi sürücüleri
  • Microsoft Store uygulamaları
  • Configuration Manager istemcisi
  • Uygulama Denetimi ilkesini işledikten sonra cihazların yükledikleri Configuration Manager aracılığıyla dağıtılan tüm yazılımlar
  • Yerleşik Windows bileşenlerine Güncelleştirmeler:
    • Windows Update
    • İş İçin Windows Update
    • Windows Server Update Services
    • Yapılandırma Yöneticisi
    • İsteğe bağlı olarak, Microsoft Intelligent Security Graph (ISG) tarafından belirlenen iyi bir üne sahip yazılım. ISG, Windows Defender SmartScreen ve diğer Microsoft hizmetlerini içerir. Bu yazılımın güvenilir olması için cihazın Windows Defender SmartScreen ve Windows 10 sürüm 1709 veya üzerini çalıştırıyor olması gerekir.

Önemli

Bu öğeler, windows'da yerleşik olmayan ve internetten veya üçüncü taraf yazılım güncelleştirmelerinden otomatik olarak güncelleştirilen yazılım içermez. Bu sınırlama, listelenen güncelleştirme mekanizmalarından herhangi biri tarafından veya İnternet'ten yüklenip yüklenmediği konusunda geçerlidir. Uygulama Denetimi yalnızca Configuration Manager istemcisi aracılığıyla dağıtılan yazılım değişikliklerine izin verir.

Desteklenen işletim sistemleri

Uygulama Denetimi'ni Configuration Manager kullanmak için cihazların desteklenen sürümlerini çalıştırması gerekir:

  • Windows 11 veya üzeri, Enterprise sürümü
  • Windows 10 veya üzeri, Enterprise sürümü
  • Windows Server 2019 veya üzeri

İpucu

Configuration Manager sürüm 2006 veya önceki sürümlerle oluşturulan mevcut Uygulama Denetimi ilkeleri Windows Server ile çalışmaz. Windows Server'ı desteklemek için yeni Uygulama Denetimi ilkeleri oluşturun.

Başlamadan önce

  • Bir cihazda ilke başarıyla işlendiğinde, Configuration Manager bu istemcide yönetilen yükleyici olarak yapılandırılır. İlke işlemlerinden sonra, Configuration Manager tarafından dağıtılan yazılımlara otomatik olarak güvenilir. Cihaz Uygulama Denetimi ilkesini işlemeden önce, Configuration Manager tarafından yüklenen yazılıma otomatik olarak güvenilmez.

    Not

    Örneğin, bir işletim sistemi dağıtımı sırasında uygulamaları yüklemek için görev dizisinde Uygulama Yükle adımını kullanamazsınız. Daha fazla bilgi için bkz . Görev dizisi adımları - Uygulamayı Yükleme.

  • Uygulama Denetimi ilkeleri için varsayılan uyumluluk değerlendirme zamanlaması her gündür. Bu zamanlama, ilke dağıtımı sırasında yapılandırılabilir. İlke işlemede sorunlarla karşılaşırsanız uyumluluk değerlendirme zamanlamasını daha sık olacak şekilde yapılandırın. Örneğin, her saat. Bu zamanlama, bir hata oluşursa istemcilerin bir Uygulama Denetimi ilkesini işlemeye ne sıklıkta yeniden başvuracaklarını belirler.

  • Seçtiğiniz zorlama modundan bağımsız olarak, bir Uygulama Denetimi ilkesi dağıttığınızda, cihazlar dosya uzantısıyla .hta HTML uygulamalarını çalıştıramaz.

Uygulama Denetimi ilkesi oluşturma

  1. Configuration Manager konsolunda Varlıklar ve Uyumluluk çalışma alanına gidin.

  2. Endpoint Protection'ı genişletin ve ardından Windows Defender Uygulama Denetimi düğümünü seçin.

  3. Şeridin Giriş sekmesindeki Oluştur grubunda Uygulama Denetimi ilkesi Oluştur'u seçin.

  4. Uygulama Denetimi ilkesi Oluşturma Sihirbazı'nınGenel sayfasında aşağıdaki ayarları belirtin:

    • Ad: Bu Uygulama Denetimi ilkesi için benzersiz bir ad girin.

    • Açıklama: İsteğe bağlı olarak, ilkeyi Configuration Manager konsolunda tanımlamanıza yardımcı olacak bir açıklama girin.

    • Bu ilkenin tüm işlemler için zorunlu kılınabilmesi için cihazların yeniden başlatılmasını zorunlu kılın: Cihaz ilkeyi işledikten sonra, istemcide Bilgisayar Yeniden Başlatmaiçin İstemci Ayarları'na göre bir yeniden başlatma zamanlanır. Şu anda cihazda çalışan uygulamalar, yeniden başlatmadan önce yeni Uygulama Denetimi ilkesini uygulamaz. Ancak, ilke uygulandıktan sonra başlatılan uygulamalar yeni ilkeye uygun olacaktır.

    • Zorlama Modu: Aşağıdaki zorlama yöntemlerinden birini seçin:

      • Zorlama Etkin: Yalnızca güvenilen uygulamaların çalışmasına izin verilir.

      • Yalnızca Denetle: Tüm uygulamaların çalışmasına izin ver, ancak çalışan güvenilmeyen programları günlüğe kaydet. Denetim iletileri yerel istemci olay günlüğündedir.

  5. Uygulama Denetimi oluşturma ilkesi Sihirbazı'nınEklemeler sekmesinde Akıllı Güvenlik Grafı tarafından güvenilen yazılımları yetkilendirmek isteyip istemediğinizi seçin.

  6. Cihazlardaki belirli dosyalar veya klasörler için güven eklemek istiyorsanız Ekle'yi seçin. Güvenilen Dosya veya Klasör Ekle iletişim kutusunda, güvenebileceğiniz yerel bir dosya veya klasör yolu belirtebilirsiniz. Ayrıca, bağlanma izniniz olan uzak bir cihazda bir dosya veya klasör yolu da belirtebilirsiniz. Uygulama Denetimi ilkesindeki belirli dosyalar veya klasörler için güven eklediğinizde şunları yapabilirsiniz:

    • Yönetilen yükleyici davranışlarıyla ilgili sorunların üstesinden gelin.

    • Configuration Manager ile dağıtamazsınız iş kolu uygulamalarına güvenin.

    • İşletim sistemi dağıtım görüntüsüne dahil edilen uygulamalara güvenin.

  7. Sihirbazı tamamlayın.

Uygulama Denetimi ilkesi dağıtma

  1. Configuration Manager konsolunda Varlıklar ve Uyumluluk çalışma alanına gidin.

  2. Endpoint Protection'ı genişletin ve ardından Windows Defender Uygulama Denetimi düğümünü seçin.

  3. İlke listesinden dağıtmak istediğiniz ilkeyi seçin. Şeridin Giriş sekmesindeki Dağıtım grubunda Uygulama Denetim İlkesiNi Dağıt'ı seçin.

  4. Uygulama Denetimi ilkesini dağıt iletişim kutusunda, ilkeyi dağıtmak istediğiniz koleksiyonu seçin. Ardından istemcilerin ilkeyi değerlendirdiğinde için bir zamanlama yapılandırın. Son olarak, istemcinin ilkeyi yapılandırılmış bakım pencerelerinin dışında değerlendirip değerlendiremeyeceğini seçin.

  5. İşiniz bittiğinde, ilkeyi dağıtmak için Tamam'ı seçin.

Uygulama Denetimi ilkesini izleme

Genel olarak, Uyumluluk ayarlarını izleme makalesindeki bilgileri kullanın. Bu bilgiler, dağıtılan ilkenin tüm cihazlara doğru şekilde uygulandığını izlemenize yardımcı olabilir.

Uygulama Denetimi ilkesinin işlenmesini izlemek için cihazlarda aşağıdaki günlük dosyasını kullanın:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Engellenen veya denetlenen belirli yazılımları doğrulamak için aşağıdaki yerel istemci olay günlüklerine bakın:

  • Yürütülebilir dosyaları engellemek ve denetlemek için Uygulama ve Hizmet Günlükleri>Microsoft>Windows>Kod Bütünlüğü>İşletimsel'i kullanın.

  • Windows Installer ve betik dosyalarını engellemek ve denetlemek için Uygulama ve Hizmet Günlükleri>Microsoft>Windows>AppLocker>MSI ve Betik'i kullanın.

Güvenlik ve gizlilik bilgileri

  • İlkeye Yalnızca Denetim veya Zorlama Etkin modunda dağıtılan ancak ilkeyi zorlamak için yeniden başlatılmamış cihazlar, güvenilmeyen yazılımların yüklenmesine karşı savunmasızdır. Bu durumda, cihaz yeniden başlatıldığında veya Zorlama Etkin modunda bir ilke alsa bile yazılım çalışmaya devam edebilir.

  • Uygulama Denetimi ilkesinin etkili olmasına yardımcı olmak için önce cihazı laboratuvar ortamında hazırlayın. Zorlama Etkin ilkesini dağıtın ve ardından cihazı yeniden başlatın. Uygulamaların çalıştığını doğruladıktan sonra cihazı kullanıcıya verin.

  • Zorlama Etkin olan bir ilkeyi dağıtmayın ve daha sonra aynı cihaza Yalnızca Denetle ile bir ilke dağıtın. Bu yapılandırma güvenilmeyen yazılımların çalışmasına izin vermesine neden olabilir.

  • Cihazlarda Uygulama Denetimi'ni etkinleştirmek için Configuration Manager kullandığınızda, ilke yerel yönetici haklarına sahip kullanıcıların Uygulama Denetimi ilkelerini aşmasını veya güvenilmeyen yazılımları çalıştırmasını engellemez.

  • Yerel yönetici haklarına sahip kullanıcıların Uygulama Denetimi'ni devre dışı bırakmasını önlemenin tek yolu, imzalı bir ikili ilke dağıtmaktır. Bu dağıtım grup ilkesi aracılığıyla mümkündür, ancak şu anda Configuration Manager'de desteklenmez.

  • cihazlarda Configuration Manager yönetilen yükleyici olarak ayarlamak bir Windows AppLocker ilkesi kullanır. AppLocker yalnızca yönetilen yükleyicileri tanımlamak için kullanılır. Uygulama Denetimi ile tüm zorlamalar gerçekleşir.

Sonraki adımlar

Kötü amaçlı yazılımdan koruma ilkelerini ve güvenlik duvarı ayarlarını yönetme